Seguridad-informatica-aplicada-a-la-ingeniera-geomatica

•
Engenharias

Aprende Todo
15/7/2022
¡Este material tiene más páginas!
Entonces, ¿te gustó este material?
Ayude a animar a otros estudiantes a mejorar el contenido
¿Te gustó este material? ¡Compartir! 🧡
Ingeniería

47.771 Materiales compartidos
Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
Vista previa del material en texto
Seguridad informática 
aplicada a la Ingeniería 
Geomática 
Que para obtener el título de 
 
P R E S E N T A 
Daniel Macouzet Iturbe 
DIRECTOR DE TESINA 
 
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO 
FACULTAD DE INGENIERÍA 
M. en I. Adolfo Reyes Pizano 
TESIS 
Ingeniero Geomático 
 
Ciudad Universitaria, Cd. Mx., 2019 
 
 
UNAM – Dirección General de Bibliotecas 
Tesis Digitales 
Restricciones de uso 
 
DERECHOS RESERVADOS © 
PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL 
 
Todo el material contenido en esta tesis esta protegido por la Ley Federal 
del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). 
El uso de imágenes, fragmentos de videos, y demás material que sea 
objeto de protección de los derechos de autor, será exclusivamente para 
fines educativos e informativos y deberá citar la fuente donde la obtuvo 
mencionando el autor o autores. Cualquier uso distinto como el lucro, 
reproducción, edición o modificación, será perseguido y sancionado por el 
respectivo titular de los Derechos de Autor. 
 
 
 
 Dedicatoria 
 
A Winny Lorelei Meza Martínez, eres tú. 
 
Agradecimientos 
 
A mi madre, quien fue la primera en ver crecer mi trabajo. 
A Ana María Escalante Gonzalbo por haberme dado una oportunidad invaluable 
para poder aprender más. 
A Francisco Pérez Eugenio por compartir sus conocimientos desinteresadamente. 
A Adolfo Reyes Pizano por ayudarme desde los primeros pasos hasta los últimos de 
la carrera. 
A María Elena Osorio Tai por ayudarme a perfeccionar el trabajo con el cual termino 
la carrera. 
A mis sinodales Roberto Ascencio Villagómez, Ana Lilia Salas Alvarado y Luis Bruno 
Garduño Castro. 
A quienes me han influenciado para ser quien ahora soy, como son mi padre, mi 
familia, mis amigos y mis profesores que me han instruido. 
 
 
 
 
TABLA DE CONTENIDO 
I. INTRODUCCIÓN ........................................................................................................................ 1 
I.1 Planteamiento del problema y justificación .............................................................................. 1 
I.2 Objetivo general .................................................................................................................................... 3 
II. LA INGENIERÍA GEOMÁTICA Y LOS ORDENADORES .................................................... 4 
II.1 Evolución de la Ingeniería Geomática ......................................................................................... 4 
II.2 Procesamiento de datos asistido por computadora .............................................................. 8 
III. PROCESOS Y PROCEDIMIENTOS DE LA INGENIERÍA GEOMÁTICA EN 
ORDENADORES ................................................................................................................................ 11 
III.1 Adquisición ....................................................................................................................................... 11 
III.2 Proceso ............................................................................................................................................... 12 
III.3 Almacenamiento ............................................................................................................................. 13 
III.4 Manejo de grandes volúmenes de información .................................................................. 14 
IV. NECESIDAD GLOBAL DE LA SEGURIDAD INFORMÁTICA......................................... 17 
IV.1 Personales ......................................................................................................................................... 21 
IV.2 Empresariales .................................................................................................................................. 22 
V. FUENTES DE AMENAZA PARA UN SISTEMA DE INFORMACIÓN GEOGRÁFICA . 25 
V.1 Tipos de amenazas .......................................................................................................................... 25 
V.2 Crímenes .............................................................................................................................................. 27 
V.3 Perpetradores .................................................................................................................................... 27 
V.4 Métodos de ataque........................................................................................................................... 29 
VI. NECESIDADES DE LA SEGURIDAD INFORMÁTICA EN LA INGENIERÍA 
GEOMÁTICA ...................................................................................................................................... 30 
VI.1 Posibles amenazas y riesgos a la información en la Ingeniería Geomática ............. 30 
VI.2 Necesidad de capacitación en seguridad ............................................................................... 33 
VII. SOLUCIONES ANTE POSIBLES AMENAZAS A LA INFORMACIÓN ...................... 36 
VII.1 Prevención ....................................................................................................................................... 36 
VII.2 Detección .......................................................................................................................................... 37 
 
 
 
VII.3 Corrección ........................................................................................................................................ 37 
VII.4 Disuación .......................................................................................................................................... 38 
VII.5 Recuperación .................................................................................................................................. 38 
VII.6 Compensación ................................................................................................................................ 39 
VIII. LEGISLACIÓN .................................................................................................................... 40 
VIII.1 Normativa informática vigente en México ........................................................................ 40 
VIII.2 Estándares internacionales ..................................................................................................... 40 
VIII.3 Consecuencias por divulgación indebida ........................................................................... 41 
IX. EJEMPLO PRÁCTICO ............................................................................................................ 43 
IX.1 Seguridad administrativa ............................................................................................................ 43 
IX.1.1 Conciencia y capacitación del personal ........................................................................ 48 
IX.1.2 Revisiones y auditorías ....................................................................................................... 50 
IX.2 Seguridad física ............................................................................................................................... 51 
IX.3 Seguridad lógica .............................................................................................................................. 52 
IX.4 Políticas de seguridad ................................................................................................................... 59 
X. CONSLUSIONES ...................................................................................................................... 63 
XI. APÉNDICES.............................................................................................................................. 67 
xi.1 Glosario ............................................................................................................................................... 67 
 
 
1 
 
I. INTRODUCCIÓN 
I.1PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACIÓN 
Los ingenieros geomáticos han tenido la necesidad de procesar y almacenar 
mayores cantidades de información hasta el punto de no poder realizarse por métodos 
antes habituales, que se mencionarán en el capítulo 3, debido a la cantidad de tiempo 
requerido para ello. El uso de computadoras para el procesamiento, almacenamiento y 
transporte de datos es una práctica cada vez más común en un creciente número de áreas 
tanto personales como profesionales, incluyendo en la Ingeniería Geomática, lo que nos 
facilita en gran medida las labores. Pero al igual que casi todo, tiene sus ventajas y sus 
desventajas, las cuales no siempre se conocen. 
La Universidad Nacional Autónoma de México (UNAM) define la carrera en 
Ingeniería Geomática de la siguiente manera: “En la carrera de Ingeniería Geomática se 
llevan a cabo actividades relacionadas con la adquisición, proceso y almacenamiento de 
elementos topográficos y geográficos que son la base para la producción de mapas, 
planos, cartas e imágenes que se utilizan en forma digital para realizar estudios y análisis, 
con fines multidisciplinarios. 
Esta profesión sirve de apoyo a otras geociencias como: geografía, geofísica, 
oceanografía, ecología, que dependen de dichos estudios. En ella se emplean sistemas 
modernos para la medición, captura, análisis y almacenamiento de la información 
referente a la superficie de la tierra. 
 
2 
 
Los ingenieros geomáticos aplican sus conocimientos de cartografía, fotogrametría, 
sistemas de información, geodesia, topografía, percepción remota, informática y 
computación, con lo que resuelven problemas y abren nuevas oportunidades en áreas 
como: desarrollo, operación y mantenimiento de sistemas de información geográfica y 
construcción de obras civiles” (UNAM, 2018). 
Y los objetivos educacionales del programa son los siguientes: 
1. Los egresados aplican los conocimientos de su disciplina, para resolver 
proyectos de Ingeniería Geomática, respetando la normatividad técnica 
vigente. 
2. Los egresados contribuyen por medio de sus habilidades, conocimientos y 
actitudes al desarrollo de proyectos de su disciplina, haciendo uso adecuado de 
los recursos y de las TIC, para lograr soluciones funcionales. 
3. Los egresados trabajan en instituciones públicas, privadas o de manera 
independiente. 
4. Los egresados trabajan en grupos inter y multidisciplinarios, en un entorno de 
responsabilidad social y conducta ética. 
5. Los egresados tienen la capacidad para continuar su formación en un área 
específica, realizando estudios de posgrado y educación continua. (Facultad de 
Ingeniría, 2018) 
En el primer objetivo del programa se menciona el respeto de la normatividad 
técnica vigente, el cual incluye la correcta protección de la información. En el segundo 
 
3 
 
objetivo se menciona el uso adecuado de los recursos y de las Tecnologías de Información 
y Comunicación (TIC) las cuales adquieren, procesan y almacenan información 
fundamental para la Ingeniería Geomática. Y el quinto objetivo menciona la capacidad del 
egresado para continuar su formación en un área específica, entre las cuales se 
encuentran la informática y la computación, antes mencionadas en la definición de 
Ingeniería Geomática. 
En este trabajo se hablará acerca de la adquisición, el proceso y el almacenamiento 
de los elementos geográficos que se utilizan en forma digital, sobre los sistemas modernos 
para la medición, captura, análisis y almacenamiento de la información, y sobre algunos 
conocimientos necesarios, pero generalmente desconocidos, de informática y 
computación. 
I.2 OBJETIVO GENERAL 
Exponer la importancia de los conocimientos en seguridad de la información 
aplicados en los sistemas modernos usados en la Ingeniería Geomática para la medición, 
captura, análisis y almacenamiento de la información referente a la superficie de la Tierra, 
ya que para poder identificar con mayor facilidad las posibles amenazas en un conjunto de 
procesos y procedimientos es necesario estar familiarizado con ellos. 
 
4 
 
II. LA INGENIERÍA GEOMÁTICA Y LOS ORDENADORES 
II.1 EVOLUCIÓN DE LA INGENIERÍA GEOMÁTICA 
De acuerdo a la Real Academia Española el término “Geomática” proviene “del 
francés géomatique, de géo- 'geo-' y la t. de informatique 'informática'” (Real Academia 
Española), surge recién en el siglo XXI como resultado del uso de las nuevas tecnologías de 
la información junto con algunas ciencias de la tierra, algunas de las cuales se 
mencionarán como antecedentes de la Geomática. 
 Topografía 
La topografía es el arte de describir y delinear detalladamente la superficie de un 
terreno (Real Academia Española), su uso es tan antiguo que resulta imposible 
determinar con exactitud su origen, se encuentra relacionado con la astronomía, la 
astrología y las matemáticas. De no ser por la topografía no se habrían podido 
edificar la inmensa cantidad de monumentos y construcciones que se han hecho. La 
topografía ha evolucionado como muchas otras ciencias, desde el uso de cuerdas 
con marcas a intervalos definidos usadas desde hace siglos, pasando por el 
odómetro, la cinta y llegando a las estaciones totales y escáneres que se ocupan hoy 
en día, que ahorran varias horas de trabajo en campo y se obtienen cada vez más 
mediciones más precisas y exactas conforme los instrumentos de medición 
evolucionan (McCormac, 2007). 
 
 
 
5 
 
 Geodesia 
La geodesia es la ciencia que desarrolla y estudia los métodos, tecnologías y 
procedimientos dirigidos a determinar con exactitud el tamaño y la forma de la 
Tierra o parte de ella, incluyendo su campo gravitacional externo, como una función 
del tiempo (Instituto Nacional de Estadística y Geografía). La geodesia también se 
encuentra en una estrecha relación con otras áreas del conocimiento, que han ido 
evolucionando y así se han podido conseguir mediciones más cercanas al valor real 
de la Tierra, avances entre los cuales figuran una considerable cantidad relativa a la 
física. En la era moderna el uso de computadoras ha permitido procesar grandes 
volúmenes de datos que no sería posible realizar sin la tecnología, además de tener 
la capacidad de hacer el trabajo de forma más rápida, fácil y eficiente. Además, la 
geodesia amplía sus horizontes llegando hasta la medición del relieve del fondo 
marino, tanto para objetos estáticos como móviles. La geodesia hace uso de 
tecnologías emergentes, añadiendo nuevos elementos y herramientas a su creciente 
catálogo de recursos (Vaníček, y otros, 1986). 
 Cartografía 
La antigüedad de la cartografía se remonta hace casi tanto como la topografía, 
ambas acompañando a la humanidad por más tiempo que la misma escritura. La 
creación de mapas se ha desarrollado en todo el planeta, cuya fidelidad ha ido 
aumentando con el paso del tiempo, ha permitido representar extensiones más 
grandes de terreno. Gran parte de la cartografía moderna depende de la medición 
 
6 
 
correcta del terreno, otra gran parte depende de la habilidad de plasmar esas 
mediciones en un plano, cosa que con el paso del tiempo hace uso de nuevas 
técnicas y herramientas que facilitan el proceso. Hoy en día resulta imposible 
trabajar con la precisión del 15% obtenida por Eratóstenes un par de siglos antes de 
Cristo al estimar la longitud de los meridianos (Raisz, 1985), que para ese entonces 
era impresionante y suficiente. 
 Percepción Remota 
La Percepción Remota es la ciencia (para algunos, arte o técnica) que permite 
observar y obtener información de nuestro planeta -desde el espacio-, sin estar en 
contacto con ella (Instituto Nacional de Estadística y Geografía). Al hablar de la 
medición del terreno haciendo uso de imágenes tomadas desde el aire estamos 
hablando de técnicas relativamente nuevas, teniendo en cuenta algunas de las 
ciencias prehistóricas que han existido por milenios. Tanto la fotografía como la 
capacidaddel hombre de volar tienen apenas menos de un par de siglos. Las 
primeras imágenes útiles para propósitos científicos fueron tomadas en 1858 por G. 
Tournachon desde un globo (Kazansev, 2017), los avances posteriores en la 
fotogrametría fueron realizados más sistémicamente por parte de la milicia. El costo 
de realizar un vuelo fotogramétrico era elevado e implicaba necesariamente el uso 
de una aeronave tripulada, ahora un vuelo fotogramétrico puede realizarse con 
aeronaves no tripuladas de diferentes clases, desde un avión que requiere una pista 
de aterrizaje hasta multirrotores más prácticos, pero menos estables en el vuelo que 
 
7 
 
los anteriores. También se obtienen imágenes capturadas desde satélites con 
sensores que captan frecuencias del espectro electromagnético no visibles para el 
ojo humano y que se han aprendido a interpretar, ampliando aún más las fronteras 
de la teledetección y de la Ingeniería Geomática (Kazansev, 2017). 
 GNSS GPS 
Un Sistema Global de Navegación por Satélites (Global Navigation Satellite System, 
GNSS) es una constelación de satélites que emite señales que son usadas para 
calcular la ubicación de un receptor de esas señales en cualquier parte de la Tierra 
(Berné Valero, y otros, 2014), uno de esos sistemas que es usado en la Ingeniería 
Geomática es el Sistema de Posicionamiento Global (Global Position System, GPS). 
Todo el proyecto del Sistema de Posicionamiento Global fue el resultado de la 
colaboración de varias partes interesadas. El lanzamiento del primer satélite de GPS 
se realizó apenas en 1978, en 1982 se confirmó una precisión entre las estaciones de 
1 a 2 partes por millón (Leick, 2004), y rápidamente conforme pasaba el tiempo 
había más interés en las posibles aplicaciones de esta nueva tecnología. La 
tecnología GPS ha ido mejorando rápidamente desde entonces, su precisión y 
velocidad han aumentado, y su uso se ha extendido. Los satélites GPS transmiten en 
un código accesible por civiles y también transmiten en código encriptado anti 
falsificación para uso militar (Leick, 2004), por lo que se puede deducir que las 
señales de GPS que se ocupan normalmente están expuestas a ser alteradas o 
falsificadas. 
 
8 
 
II.2 PROCESAMIENTO DE DATOS ASISTIDO POR COMPUTADORA 
Desde hace miles de años que se saben realizar los cálculos manualmente, sin 
embargo, existe una probabilidad relativamente alta de cometer equivocaciones y 
obtener resultados falsos. Una forma de reducir la probabilidad de errores al realizarse 
cálculos es minimizar la interacción humana al realizarse los cálculos, delegando esa labor 
a instrumentos de cálculo o máquinas que deberían arrojar los mismos resultados a los 
cálculos cuando se usen correctamente, además de reducir el tiempo necesario y poder 
realizar cálculos cada vez más complejos con una mayor facilidad. Algunos ejemplos de 
instrumentos mecánicos de cálculo son los huesos de Napier, la regla de cálculo y el 
ábaco. 
El cálculo ha evolucionado junto con la tecnología aprovechando todos los recursos 
que ésta le ha brindado y se creó la primera calculadora en 1623 llamada reloj calculador, 
la cual funcionaba mecánicamente. No fue sino hasta 1972 que se inventó la primera 
calculadora electrónica de bolsillo, la cual representa un hito en la historia de la 
informática y los procesos por los cuales realizamos cálculos tal cual se conocen hoy en día 
(Torra, 2010). 
En 1943 se puso en funcionamiento el considerado como el primer ordenador 
electrónico programable digital, llamado Colossus, cuyas funciones lógicas fueron 
diseñadas por Alan Turing. Después, en 1945 se finalizó otra máquina conocida como 
ENIAC, la cual tenía un tiempo de cálculo de 0.2 milisegundos para una suma. 
Posteriormente fue superada en 1951 por la UNIVAC, acrónimo de Universal Automatic 
 
9 
 
Computer, que fue creada como una computadora multipropósito, tardaba 0.5 
microsegundos para hacer una suma y ya usaba cintas en vez de tarjetas perforadas lo 
cual mejoraba la automatización (Torra, 2010). 
Un principal problema de las máquinas en ese entonces era que no tenían un 
programa en su memoria para controlarla, es por eso que para poder reprogramarla se 
tenían que hacer cambios en las conexiones de sus circuitos. 
Posteriormente surgieron los lenguajes de programación, con los cuales se puede 
instruir a un ordenador cómo debe comportarse para que hagan lo que les solicitemos sin 
la necesidad de manipular directamente el hardware de la máquina. En 1954 IBM 
comenzó a desarrollar el lenguaje de programación FORTRAN (FORmula TRANslation), 
cuyos resultados en su implementación sorprendieron hasta a los participantes en su 
desarrollo. Con FORTRAN, el programador podía usar un lenguaje preciso para especificar 
al ordenador los procedimientos matemáticos y podía ser traducido a diferentes máquinas 
ya que permitía cierto nivel de abstracción, algo que adoptaron otros lenguajes 
posteriores como el COBOL y el LISP (Torra, 2010). 
Para tener un punto de comparación del poder de cálculo de las computadoras se 
puede usar el número máximo de decimales que se han podido calcular del número Pi (π). 
Antes del uso de las computadoras, el máximo número de decimales calculados de π fue 
realizado por el inglés D. F. Ferguson usando la ayuda de calculadoras: en 1946 consiguió 
calcular 620 decimales, en 1947 llegó a los 808 decimales, y en 1949 alcanzó los 1120 
decimales con la colaboración de John Wrench. Posteriormente John hizo la primera 
 
10 
 
aproximación de π usando una computadora, usó el ENIAC y luego de tan solo 70 horas de 
cálculo se obtuvo una aproximación de 2037 decimales. Con la tecnología disponible en el 
año 2011 la aproximación tenía más de 2.7 billones de dígitos (2.7×1012) (Torra, 2010). 
 
11 
 
III. PROCESOS Y PROCEDIMIENTOS DE LA INGENIERÍA 
GEOMÁTICA EN ORDENADORES 
La Ingeniería Geomática hace uso de sistemas modernos para la medición, captura, 
análisis y almacenamiento de la información necesaria para desempeñar sus tareas. A 
continuación se analizarán algunos de los sistemas involucrados en los diferentes aspectos 
mencionados (considerando que la medición y captura son la adquisición, el análisis es el 
proceso de la información, y el almacenamiento) para posteriormente analizar los posibles 
riesgos relacionados a cada uno y cómo reducirlos. 
III.1 ADQUISICIÓN 
Entre las diferentes formas en que los ingenieros geomáticos obtienen la 
información referente a la superficie de la Tierra se encuentran métodos tan sencillos y 
antiguos como la medición con el uso de la cinta, como métodos más modernos y 
complejos que en muchos casos involucran el uso de tecnologías electrónicas, las cuales al 
ser empleadas correctamente reducen considerablemente la probabilidad de cometer 
errores y la desviación estándar de los errores de resultados obtenidos, sobre los cuales 
vamos a centrar nuestra atención. 
Estando en el campo se puede obtener la información que se necesite mediante el 
uso de dispositivos electrónicos como los distanciómetros, las estaciones totales, 
escáneres, dispositivos GPS, cámaras fotográficas y aeronaves no tripuladas. 
 
12 
 
También obtenemos los datos que se necesiten por medios indirectos al no capturar 
la información en persona directamente del entorno, como es el caso de imágenes 
satelitales que se descargan a través de una aplicación web usando una conexión a 
internet. Otro ejemplo es cuando entre colegas se proporcionan la información que 
necesiten al transmitirla por diferentes medios, como una unidad flash, correo electrónico 
o tal vez brindando una liga para descargar la información de la nube. 
III.2 PROCESO 
El análisis de la información obtenida puede realizarse por diferentes medios, en los 
cuales invariablemente se encuentra la necesidad de la intervención humana. Debido al 
gran volumen de información que se maneja en la Ingeniería Geomática,y que sigue 
aumentando con el paso del tiempo, no es raro que el procesamiento de los datos 
obtenidos se base en el empleo de artefactos electrónicos, desde el uso de una 
calculadora con solamente operaciones básicas, hasta estaciones de trabajo con 
procesadores múltiples y capacidad de procesamiento simultáneo usando varias unidades 
de procesamiento gráfico en paralelo. 
Típicamente se hace uso de programas y aplicaciones (software), diseñados para 
cubrir necesidades específicas, que facilitan la interacción y uso de los recursos con los 
que cuente una máquina física (hardware). Como ejemplo de software se pueden 
mencionar los editores de texto, hojas de cálculo, visualizadores de archivos, navegadores 
de internet, complementos e incluso el mismo sistema operativo. También se encuentra 
software más especializado en procesos geomáticos, como software para trabajar con 
 
13 
 
imágenes satelitales, con Sistemas de Información Geográfica (SIG), para dibujo asistido 
por computadora (CAD) y otros, que también son ejecutados sobre un sistema operativo. 
III.3 ALMACENAMIENTO 
Toda la información que se maneja mediante diferentes dispositivos electrónicos 
tiene que estar almacenada en algún lugar. Independientemente del medio en el que se 
encuentre almacenada, ya sea desde tarjetas perforadas hasta almacenamiento 
experimental en ADN, se trata de la misma información que puede ser cualquier conjunto 
de datos que pueden ser procesados por diferentes computadoras. 
Entre de los diferentes medios de almacenamiento que pueden usar comúnmente 
los ordenadores algunos de los que se pueden mencionar son: 
 Unidad de disco duro (HDD) 
 Unidad de estado sólido (SSD) 
 Compact Disk (CD) 
 Digital Versatile Disc (DVD) 
 Blu-ray Disk (BD) 
 Cintas electromagnéticas 
 Unidades flash 
 Tarjetas de memoria 
 Códigos de barras 
 Códigos QR 
 
14 
 
Sin importar qué medio de almacenamiento se ocupe siempre existen riesgos como 
flujo no deseado de información, malware, daño o robo a la unidad de almacenamiento, 
pérdida de información, etc. 
III.4 MANEJO DE GRANDES VOLÚMENES DE INFORMACIÓN 
La creciente capacidad de las máquinas para el procesamiento de datos se relaciona 
directamente con la necesidad de mayores capacidades de almacenamiento de los 
mismos. Un ejemplo puede ser las imágenes, ya sea que se hable de fotografías que son 
tomadas recreativamente con familia y amigos, o ya sean imágenes aéreas o satelitales 
que cuya resolución espacial aumenta con cada generación de satélites que ponen en 
órbita, dependiendo su objetivo, el espacio de almacenamiento digital que requieren va 
en aumento. Hoy en día puede resultar imposible guardar toda la información que se una 
persona maneja diariamente ocupando menos de 1 MB que ofrecían los primeros 
disquetes que antes se usaban (TECHNOLOGICAL TRENDS IN THE DEVELOPMENT OF THE 
FLOPPY DISK., 2004) (International Business Machines Corporation, 1971), en cambio 
ahora se suelen usar las unidades flash con entrada USB con capacidades superiores a los 
8192 MB, que son 8 GB. De igual forma la velocidad de transferencia de datos ha ido 
aumentando en diferentes componentes, como las conexiones inalámbricas con 
protocolos más rápidos, cables de mayor categoría, puertos con mayor velocidad de 
transferencia, etc. 
No es raro que, al manejar tanta información, una pequeña parte de toda ella sea 
alterada, es por ello que se toman diferentes contramedidas para evitar que se vea 
 
15 
 
comprometida su integridad, pero siendo tanta información ¿Cómo saber si ha sido o no 
alterada? Algunas de las soluciones que han ido surgiendo a tal necesidad se encuentran 
las siguientes: 
 Hash: Son funciones o algoritmos que resultan en un conjunto de caracteres de una 
longitud determinada y es de un solo sentido, es decir que no se puede obtener la 
entrada original a partir del resultado, por lo que se usan para almacenar 
contraseñas de forma segura, si una pequeña parte del mensaje es alterada 
entonces el resultado cambia radicalmente. Son también usadas para saber si los 
datos se transmitieron correctamente. La probabilidad que 2 conjuntos de datos 
tengan como resultado el mismo resultado hash es prácticamente nula (Gómez 
Urgellés, 2010). 
 Arreglos redundantes de discos independientes: Mejor conocido por su acrónimo 
RAID (Redundant Array of Independent Disks). Como el nombre sugiere es un 
conjunto de discos en el cual hay redundancia de datos, de esta forma al estar 
repetida la información hay garantía de poder recuperar la información que se haya 
podido ver comprometida dentro del arreglo en caso que alguno de los discos falle. 
Hay algunas ventajas y desventajas en los diferentes tipos de arreglos RAID, entre las 
principales desventajas se encuentra que no se puede aprovechar al máximo la 
capacidad de almacenamiento de todos los discos del arreglo, menos en RAID 0 que 
no tiene redundancia. Entre las ventajas se encuentra que para que haya pérdida de 
información tienen que fallar más de un disco duro al mismo tiempo, dependiendo 
 
16 
 
del arreglo puede que para que haya pérdida tengan que fallar al menos tres 
unidades de almacenamiento simultáneamente como en el caso de RAID 6(cita). 
 Protocolos: Otra de las contramedidas que se han implementado para prevenir la 
alteración y pérdida total o parcial de información, y así mantener su integridad y 
disponibilidad, es el funcionamiento de ciertos protocolos de transporte que 
verifican que los datos hayan llegado a su destino y que no hayan sido alterados en 
su trayecto. 
Al implementar correctamente algunas de las soluciones antes mencionadas se 
puede asegurar que la información se encuentra inalterada y que se puede trabajar 
correctamente con ella sin preocupación. 
 
17 
 
IV. NECESIDAD GLOBAL DE LA SEGURIDAD 
INFORMÁTICA 
Los riesgos relacionados a la información se pueden clasificar como accidentales o 
intencionales. Los crímenes computacionales son los intencionales, los cuales consisten en 
cualquier actividad criminal en donde sistemas computacionales o redes son usados como 
herramientas para el crimen, es decir, la violación de una ley o regulación siempre que 
involucre al menos una computadora como medio en todo o parte del proceso. Algunos 
tipos de crímenes computacionales son: 
 Empresariales: Aquí se encuentran acciones como espionaje corporativo y el robo de 
propiedad intelectual. 
 Por diversión: Hay personas que realizan crímenes sin fines lucrativos ni por una 
causa, solamente por diversión o pasatiempo. 
 Molestar o descontentar empleados: Cuando se busca atacar a una empresa pero el 
ataque no se realiza directamente contra ella, sino a sus empleados con el fin de 
desestabilizarla. 
 Ciberterrorismo: Son crímenes realizados por una causa, enviar un mensaje y/o 
causar terror por diferentes motivos. Varios actos de hacktivismo entran en esta 
categoría. 
 Financieros: Son los crímenes enfocados hacia tarjetas de crédito y entidades 
financieras principalmente, como bancos y casas de cambio monetario. 
 
18 
 
 Personales: Cuando los crímenes tienen por objetivo atacar a una persona en 
específico por diversas razones, como el robo de identidad o campañas de 
desprestigio. 
Cualquiera que sea el término empleado, ya sea Gobernanza de la seguridad, 
Seguridad Cibernética o Seguridad de la información, se refieren a todas las acciones 
destinadas a minimizar el riesgo al que es expuesta la información. Siempre hay riesgos, es 
prácticamente imposible estar completamente seguro contra las amenazas, hay que 
minimizarlos lo más que se pueda, siempre y cuando resulte conveniente. No es 
conveniente realizar una inversión en seguridad mayor al valor del activo que queremos 
proteger. 
La seguridad de la información se basa en el modelo “Triada CIA”, siendo el 
acrónimo en inglés de “Confidencialidad, Integridad y Disponibilidad”(Confidentiality, 
Integrity and Availability) (F. DeFranco, 2014). 
 Confidencialidad: Se refiere a quién o qué tiene acceso a un material en específico y 
se puede ver claramente con la clasificación de la información. Con los datos 
personales se suele relacionar más fácilmente con la palabra privacidad. Una buena 
práctica para mantener la confidencialidad es la política del Privilegio Mínimo, en la 
cual solamente se puede acceder a los recursos necesarios para cumplir con las 
funciones que tiene que realizar además de un nivel de autorización. Un buen 
ejemplo de confidencialidad es el encriptado, ya que aunque la información sea 
robada no puede ser leída. 
 
19 
 
 Integridad: Hace referencia a la confiabilidad de los datos mismos, o de la máquina 
que los almacene y/o procese, ya que la integridad tanto de la máquina como de los 
datos puede ser comprometida. Hay diferentes métodos para verificar si los datos 
han cambiado, uno de ellos es el uso de “hashes”, y otro método puede ser verificar 
que se obtengan los mismos resultados usando los mismos procesos con los mismos 
insumos. 
 Disponibilidad: Hace referencia a que los recursos o servicios se encuentren en 
condición de ser accedidos o usados. Tener un 100% de disponibilidad es imposible, 
así como eliminar el riesgo, por lo que muchas veces se dice que un recurso tiene 
por ejemplo “cuatro nueves” de disponibilidad o confiabilidad cuando se puede 
garantizar que estará disponible el 99.99% del tiempo (Latency analysis of systems 
with multiple interfaces for ultra-reliable M2M communication, 2016). 
La clasificación de la información es más comúnmente referida cuando se discute 
sobre información militar o gubernamental, sin embargo, hay varias organizaciones que 
pueden usar sistemas de clasificación similares. El sistema de clasificación sirve para 
asegurar que la información es marcada de cierta forma que solo aquellos con el nivel 
apropiado de autorización pueden tener acceso a la información, adicionalmente en 
algunos casos junto con la necesidad de saber. La norma ISO 27001, que trata sistemas de 
gestión de la seguridad de la información, no define niveles de clasificación sino que cada 
empresa o persona define los niveles que le resulten convenientes con base en las 
necesidades específicas de cada caso (International Organization for Standardization, 
 
20 
 
International Electrotechnical Commission, 2013). Un ejemplo de una clasificación es el 
siguiente: 
 Ultra secreto: Su divulgación puede resultar en daño excepcionalmente grave a la 
seguridad nacional o internacional. Ejemplos incluyen datos de inteligencia militar 
vital, llaves criptográficas usadas para proteger comunicaciones y diseños detallados 
de armas. 
 Secreto: Su divulgación puede dañar seriamente la seguridad nacional. Ejemplos 
incluyen inteligencia significante, planos militares, desarrollo técnico y estrategias 
diplomáticas. 
 Confidencial: Su divulgación puede causar daños a la seguridad nacional. Ejemplos 
incluyen pruebas de fuerza militar, datos de rendimiento, entrenamiento técnico y 
documentos de operaciones. 
 Sensible pero no clasificada: Información que no es clasificada como ultra secreta, 
secreta o confidencial pero su divulgación es aún restringida para proteger intereses 
nacionales. 
 No clasificada: Esta información está en general disponible públicamente como 
resultado de la estrategia de la Organización de las Naciones Unidas para la 
Educación, la Ciencia y la Cultura (UNESCO, 2007), a pesar de que clasificaciones 
especiales, como no clasificado solo para fuerzas de la ley, puedan ser asignadas 
para restringir divulgación a ciertas organizaciones con la necesidad de saber. 
 
21 
 
IV.1 PERSONALES 
La privacidad puede ser definida como los derechos y obligaciones de los individuos 
y organizaciones con respecto a la recolección, uso, retención y revelación de información 
personal, aunque la información personal es un concepto genérico y engloba cualquier 
información que sea acerca de un individuo identificable. 
La privacidad es un asunto serio ya que mucha información puede ser revelada si no 
se protege correctamente, principalmente si no se le otorga la importancia debida. 
Accidentalmente se puede revelar información identificable personalmente como 
nombres, direcciones, números telefónicos, ingresos, familiares, trabajo actual, trabajos 
anteriores, relaciones personales, números de seguridad social, cuentas bancarias y 
muchas cosas más que pueden ser usadas con fines maliciosos. 
La política de privacidad dice qué pueden hacer con la información personal, por eso 
es importante que se preste atención a los términos y condiciones que se aceptan al 
realizar diferentes actividades como por ejemplo crear una cuenta y llenar un formulario 
en una página en internet. 
Para reducir los riesgos contra la privacidad como usuarios se puede tener en cuenta 
algunos puntos importantes, como son las buenas costumbres, que son acciones que se 
hacen o evitan hacer para no comprometer la seguridad. Unos ejemplos de buenas 
costumbres son: No revelar contraseñas, revisar las políticas de privacidad, verificar la 
autenticidad de las páginas de internet que se visitan, no instalar cualquier programa 
desconocido en nuestros dispositivos, usar redes virtuales privadas, revisar y configurar 
 
22 
 
los parámetros de privacidad de las cuentas de redes sociales a conveniencia, tener 
respaldada la información, y tener encriptados los archivos y dispositivos. Cada individuo 
decide qué costumbres adoptar y seguir para proteger su privacidad. 
IV.2 EMPRESARIALES 
Cuando se habla de la protección de información empresarial la complejidad de las 
contramedidas a los posibles riesgos y amenazas aumenta considerablemente, sobre todo 
por los ataques directos que sufren contra su información con malas intenciones. Las 
necesidades de cada organización pueden diferir mucho entre ellas, pero en general casi 
siempre se pueden encontrar las siguientes: 
 Políticas: Las políticas son documentos que indican qué se debe hacer bajo 
diferentes circunstancias. Varía mucho dependiendo de las necesidades de la 
organización y cómo se haya decidido su estructura. Pueden ser tan sencillas y 
reducidas que no alcancen a llenar una página, también pueden ser tan complejas y 
exhaustivas que sobrepasen las 100 páginas. En ellas se pueden encontrar por 
ejemplo la periodicidad y el método usado para obtener respaldos de información 
específica que se maneje. También se puede encontrar si un individuo ajeno a la 
organización puede entrar en las instalaciones, bajo qué condiciones, si debe llevar 
un gafete, escolta y demás. 
 Buenas costumbres y capacitación: Las acciones de cada individuo afectan a toda la 
organización, por lo que hay que tener la seguridad que los riesgos relacionados con 
cada uno de los empleados sea el mínimo posible, es por ello que no siempre se 
 
23 
 
puede confiar en las buenas costumbres de cada uno y hay que capacitar al 
personal, desde simples pláticas de concientización hasta cursos sobre el manejo de 
software necesario para mantener segura la información, como pueden ser 
aplicaciones de encriptado de archivos. 
 Software antimalware: Una organización debe tener la seguridad que la 
información que maneja y almacena no se vea comprometida en confidencialidad, 
integridad ni en disponibilidad, algo que puede resultar de alguna pieza de software 
malicioso. Una empresa maneja diferentes tipos de información dependiendo de sus 
actividades, en muchos casos manejan información identificable personalmente 
tanto de sus empleados como de sus clientes, independientemente de la 
información relacionada a su giro de negocio. 
 Hardware especializado: En empresas en donde la seguridad por software resulte 
insuficiente para conseguir el nivel de seguridad deseado, es necesario la 
implementaciónde dispositivos diseñados específicamente para la protección de la 
información por medios computacionales. 
 Personal especializado: Son personas con un conocimiento profundo sobre las 
amenazas y vulnerabilidades de las empresas que buscan mejorar continuamente la 
seguridad al evaluar los bienes de la empresa, analizar y calificar los riesgos posibles, 
asignar y aceptar los riesgos residuales y aceptables mediante la implementación de 
diferentes contramedidas de diferentes tipos, la evaluación de esas contramedidas, 
 
24 
 
el monitoreo y medición de los procesos empresariales, y la mejora continua de la 
seguridad. 
 
25 
 
V. FUENTES DE AMENAZA PARA UN SISTEMA DE 
INFORMACIÓN GEOGRÁFICA 
En todo sistema de información se encuentran diferentes orígenes potenciales de 
una gran cantidad de amenazas diferentes que en cualquier momento que se analice 
tienen la posibilidad de poner en riesgo la confidencialidad, la integridad y/o la 
disponibilidad de la información, ya sea que tengan una probabilidad muy alta de afectarla 
o una extremadamente baja. 
V.1 TIPOS DE AMENAZAS 
Las amenazas pueden ser de diferentes naturalezas, y no necesariamente implican 
que alguien esté realizando acciones con intenciones maliciosas. Las fuentes de amenaza 
pueden ser de tipo humano, natural, fallas en los sistemas de información y actividades 
maliciosas (AMENAZAS INFORMÁTICAS Y SEGURIDAD DE LA INFORMACIÓN, 2007). 
 Humanas: Dentro de las fuentes humanas se encuentra la gente, ya sea que 
busquen intencionalmente causar daño o que terminen representando una 
amenaza por los errores que puedan cometer. Dentro de las personas se 
puede encontrar gente maliciosa tanto interna como externa a la empresa, 
terroristas, saboteadores, factores políticos o competitivos, pérdida de 
personal clave, manifestaciones violentas, errores cometidos por 
intervención humana y problemas culturales, entre otros. 
 
26 
 
 Naturales: Aquí se encuentra la posibilidad que un fenómeno de la 
naturaleza pueda afectar a la infraestructura informática. Dependiendo de 
las condiciones del lugar en que se encuentre, aquí se pueden mencionar 
fenómenos como incendios, inundaciones, tornados, huracanes, ciclones, 
tormentas de nieve, tormentas eléctricas, sismos e inclusive la posibilidad 
que caiga un meteorito. Puede que a algunos les suene absurdo contemplar 
la posibilidad que un cuerpo del espacio destruya las instalaciones, y la 
información dentro, al caer en la Tierra, pero es un claro ejemplo de un 
riesgo que en la mayoría de las ocasiones se decidirá aceptar, o puede que 
sea solucionado junto con otros peligros al hacer respaldos y almacenarlos 
en otro sitio. 
 Fallas en los sistemas de información: Cualquier cosa en el sistema que 
pueda dejar de funcionar correctamente se encuentra aquí, como por 
ejemplo las fallas de hardware, fallas de software, una cámara rota del 
sistema de circuito cerrado de televisión, una pieza mal atornillada, un 
candado o una cerradura que no sea del nivel de seguridad que se necesite, 
una puerta que no sea lo suficientemente resistente o que se encuentre 
abierta, falla en el sistema de respaldos. 
 Actividades maliciosas: se encuentra aquí el código malicioso, el cual tiene 
una amplia variedad de tipos y consecuencias, algunos ejemplos pueden ser 
la disminución del rendimiento de una máquina, robo de información tanto 
 
27 
 
empresarial como personalmente identificable, pérdida de información y la 
indisponibilidad temporal o permanente de varios componentes 
computacionales de una infraestructura empresarial. 
 
 
V.2 CRÍMENES 
Hay diferentes crímenes de los cuales se puede ser objetivo, algunos de ellos existen 
desde hace casi 4000 años, actualmente aún son motivo de cuidado y pueden ser 
mitigados mediante controles administrativos, técnicos y físicos. Entre estos crímenes se 
pueden encontrar los siguientes: Robo, fraude, sabotaje, chantaje, espionaje industrial, 
revelación no autorizada, ataques remotos por conductos cibernéticos, pérdida de 
credibilidad (campañas de desprestigio), pérdida de información propietaria, y 
repercusiones legales (O'Hara, y otros, 2016). 
V.3 PERPETRADORES 
Cuando una persona es responsable de alguna ofensa contra la seguridad de los 
bienes de una organización o individuo. Hackers, crackers, script kiddies, traición de 
empleados, error de hacker ético, terceros, ignorancia. A grandes rasgos se pueden definir 
de la siguiente forma (O'Hara, y otros, 2016): 
 Hackers: Un hacker puede ser tanto un programador computacional que 
puede crear programas computacionales que antes no existían, o un 
 
28 
 
individuo que desea entrar en una red, tomar control de ella y dañar o 
desacreditar procesos computacionales legítimos. En el caso de la segunda 
definición su primer objetivo es exceder el nivel autorizado de los privilegios 
en el sistema, pueden ser individuos internos o externos a la organización. 
 Crackers: Este término es en ocasiones usado para diferenciar a los hackers 
mal intencionados de los que no lo son, aunque muchas veces se usan los 
términos indiscriminadamente. Un cracker busca irrumpir en un sistema sin 
previa autorización de forma ilegal y no ética. 
 Script kiddies: Son individuos que buscan hackear usando programas y 
herramientas programadas por otros. No necesariamente tienen 
conocimientos avanzados de seguridad. 
 Traición de empleados: Son individuos de adentro de la organización y 
tienen más acceso y oportunidad que alguien de fuera, por lo que es 
importante monitorear la satisfacción interna de los empleados. 
 Error de hacker ético: Un hacker ético es aquel autorizado a probar la 
seguridad de los equipos con el fin de identificar las fallas en la seguridad. Es 
posible que en este proceso se termine comprometiendo la seguridad de la 
organización o los bienes de la misma. 
 Terceros: Son personas externas a la organización, incluye visitantes, 
proveedores, consultores, personal de mantenimiento y demás. Estos 
 
29 
 
individuos pueden obtener información del interior de la organización. Lo 
mínimo recomendable es supervisión directa de los terceros por parte de un 
empleado de confianza. 
 Ignorancia: Un individuo con falta de conocimiento puede resultar ser parte 
de un crimen o de un incidente sin siquiera conocer los resultados de sus 
acciones. La ignorancia puede ser combatida mediante la capacitación en 
diferentes áreas internas de la organización y de esta forma reducir el riesgo 
en general. 
V.4 MÉTODOS DE ATAQUE 
Básicamente hay dos tipos de ataques: activos o pasivos (O'Hara, y otros, 2016). 
 Ataques pasivos: Son ataques que se caracterizan por ser técnicas de 
observación. Lo que buscan es obtener más información acerca de la red. 
Algunos ejemplos son análisis de la red, análisis del tráfico de una sola 
máquina y el espionaje de los datos transmitidos. 
 Ataques activos: Los ataques pasivos son más fáciles de detectar que los 
ataques pasivos, ya que implican realizar una acción que causa una 
alteración en el procesamiento normal de la información. Algunos ejemplos 
de tipos de ataques pasivos incluyen: Pruebas de penetración, ingeniería 
social, phishing y revisar la basura. 
 
30 
 
VI. NECESIDADES DE LA SEGURIDAD INFORMÁTICA EN 
LA INGENIERÍA GEOMÁTICA 
La Ingeniería Geomática está basada principalmente en la información, en los 
procesos a los cuales es sometida esa información, las herramientas con las cuales es 
procesada y la aplicación correcta de los resultados Para poder identificar con mayor 
facilidad las posibles amenazas en un conjunto de procesos y procedimientos es necesario 
estar familiarizado con ellos, y de esta forma poder implementar contramedidas para 
minimizar la probabilidad que sucedan incidentes, o en su defecto mitigar las 
consecuencias. Tratar de implementar contramedidas en procesos y procedimientos que 
nos resultandesconocidos puede resultar ser algo escabroso. 
VI.1 POSIBLES AMENAZAS Y RIESGOS A LA INFORMACIÓN EN LA INGENIERÍA 
GEOMÁTICA 
Toda pieza de información se encuentra en un riesgo constante tanto en su 
confidencialidad como en su integridad y su disponibilidad, y la información que es 
ocupada en la Ingeniería Geomática no se encuentra exenta a los riesgos, ya sea que 
pertenezcan a una o varias categorías de la clasificación de los riesgos antes mencionada. 
Es prácticamente imposible estar completamente seguro ante todas las posibles 
amenazas, y menos aún el poderlas exponer en este documento, por lo que solamente se 
mencionarán un par de casos con el fin de exponer algunos de los escenarios. 
Casos: 
 
31 
 
Se presentan a continuación dos casos los cuales se escriben al texto tal y fueron 
presentados. 
1. En varias ocasiones he visto consecuencias bastante desagradables, como 
pérdida de información, resultante de una pieza de software malicioso, ya sea un 
virus, gusano, troyano y/o ransomware. Una de esas ocasiones fue estudiando 
en la carrera realizando un trabajo en equipo con dos compañeros de la clase. En 
esa ocasión el proyecto era bastante importante y tuvimos la precaución de 
haber respaldado nuestro proyecto, que estábamos haciendo en computadora, 
en cuatro dispositivos diferentes, de los cuales dos eran ordenadores portátiles y 
dos eran unidades flash USB. Al trabajar en una computadora de la sala de 
cómputo de la División de Ingeniería Civil y Geomática se infectó una de las 
memorias con un malware, la cual posteriormente infectó a una de nuestras 
computadoras portátiles cuando íbamos a actualizar el resto de las copias a la 
versión más reciente y la computadora infectó a la otra memoria. La última de 
nuestras copias en la otra computadora afortunadamente no se vio afectada 
gracias a que la computadora contaba con un buen antimalware que detuvo la 
propagación. De cuatro copias de nuestros archivos se perdieron tres. 
2. Otro caso que he visto en repetidas ocasiones es el uso de software de licencia 
sin contar con una licencia válida y el uso de programas diseñados para prevenir 
la detección del uso ilegal del software, lo cual conocemos más familiarmente 
por el nombre de piratería de software. Lo que gran parte de la gente desconoce 
 
32 
 
es que el uso de software sin licencia puede implicar un riesgo para la seguridad 
del usuario, ya que dentro de los programas empleados para prevenir la 
detección del uso ilegal del software se puede encontrar código malicioso, el 
cual en varias ocasiones el usuario decide ignorar pese a las alertas de su 
software antivirus, en caso que sea lo suficientemente bueno como para haberlo 
detectado, con tal de poder hacer uso de un software cuya licencia no puede o 
no quiere pagar por la razón que sea. Un ejemplo en concreto sobre el problema 
de usar software pirata lo podemos encontrar en el software ENVI 5.3 de Harris 
Geospatial, que he visto ser usado sin licencia un gran número de ocasiones, ya 
que al no contar con una licencia no recibe las actualizaciones de seguridad 
contra las vulnerabilidades que han sido descubiertas, como es el caso de la 
vulnerabilidad CVE-2015-8277 (National Institute of Standards and Technology, 
2016), presente en la tecnología de Flexera FlexNet Publisher usada en los 
productos de software IDL y ENVI (HARRIS GEOSPATIAL SOLUTIONS), la cual 
tiene la calificación más alta en severidad obteniendo un 10.0 de un máximo de 
10.0 en algunas bases de datos sobre vulnerabilidades ya que implica un impacto 
completo a la confidencialidad, a la integridad y a la disponibilidad de los 
archivos en el sistema y toda la información que contengan, la explotación de 
esta vulnerabilidad tiene una complejidad baja ya que no necesita condiciones 
específicas ni conocimientos y habilidades avanzadas para explotar esta 
vulnerabilidad, solamente que se encuentre el software ENVI en su versión 5.3 o 
 
33 
 
IDL sin haber recibido la actualización de seguridad como sucede con el software 
pirateado. Tampoco se necesita ningún método de autenticación como podría 
ser el tener que iniciar sesión con usuario y contraseña, y además esta 
vulnerabilidad puede ser explotada a través de la red sin tener acceso físico 
directo a la máquina objetivo (CVE Details, 2016). 
VI.2 NECESIDAD DE CAPACITACIÓN EN SEGURIDAD 
Ya sea en el ámbito profesional como en el personal todos necesitan tener cierta 
conciencia acerca de las buenas prácticas de seguridad, de las cuales una gran parte 
pueden ser deducidas por sentido común al analizar con suficiente escrutinio los 
diferentes elementos involucrados en el activo o en el proceso que se quiera proteger, 
algo que normalmente no es realizado por la falta de costumbre o conciencia. Otra parte 
de las buenas prácticas de seguridad puede ser no tan evidente por diferentes razones, ya 
sea porque para ello se ocupan herramientas especializadas que son generalmente 
desconocidas para la población en general, o porque necesitan tener un punto de vista 
diferente. 
Para poder prevenir y detectar las amenazas que puedan comprometer la 
información, archivos, procesos y demás, es necesario saber qué es normal y qué no lo es 
dentro de lo que se desea proteger. Entre los diferentes puntos a los que se pueden 
prestar atención se encuentran los tipos de archivos que se usen en el medio en que se 
labore (como dwg, csv, xlsx, docx), cuánto almacenamiento deben consumir, el tráfico de 
datos en la red (IP, HTTP, HTTPS, SMTP, FTP, SNMP), los puertos usados por las 
 
34 
 
aplicaciones y programas que ocupemos (80, 443, 123, etc.), qué programas son usados y 
necesitados, la cantidad de recursos que consumen los programas, qué procesos y 
servicios usan los programas, y los equipos que estén conectados en la red local 
(direcciones MAC, IP). 
Una vez identificado qué es normal en nuestra red se puede restringir más 
fácilmente de antemano, o al menos detectar más rápidamente, cualquier actividad 
anómala. Al evitar las actividades anómalas se está reduciendo considerablemente los 
riesgos, ya que solamente sucederán cosas que se sabe que no resultan perjudiciales a los 
bienes de la empresa, en el caso de no poder evitar de antemano las anomalías, pero se 
puedan detectar rápidamente entonces se pueden comenzar a realizar las medidas 
necesarias para poder detener la actividad potencialmente peligrosa y detener cualquier 
incidente antes que llegue a afectar de forma severa. 
Las vulnerabilidades no siempre son las mismas, algunas dejan de ser un riesgo 
potencial con el paso del tiempo, como son las correcciones en actualizaciones. Algunas 
otras amenazas están siempre presentes, como la ingeniería social y robos de identidad, y 
siempre habrá nuevos peligros. Con cada elemento que se agregue a la infraestructura se 
añaden posibles fallas y vulnerabilidades, las cuales pueden ser conocidas de antemano 
pero hay algunas que no las conocen ni los mismos desarrolladores, quienes conforme las 
vayan conociendo las corrigen en las posteriores actualizaciones. Habrá vulnerabilidades 
que no puedan ser corregidas mediante una actualización, en esos casos se tendrán que 
 
35 
 
implementar contramedidas adicionales para que esa vulnerabilidad no pueda ser 
explotada, y de esa forma dejar de ser un riesgo. 
 
36 
 
VII. SOLUCIONES ANTE POSIBLES AMENAZAS A LA 
INFORMACIÓN 
 
Existen diferentes controles de acceso que pueden ser aplicados en 3 aspectos 
diferentes: administrativo, físico o lógico/técnico, también conocidos como controles 
técnicos de acceso. Los controles de acceso defensivos se pueden clasificar en: 
Preventivos, detectivos, correctivos, disuasorios, directivos, recuperativos y 
compensativos (Conrad, y otros, 2012). Algunos controles de acceso pueden entrar en 
varias categorías dentro de esta clasificación, y son aplicados dependiendo de la 
naturalezadel incidente ya que algunos controles pueden resultar inefectivos contra 
ciertos incidentes mientras que resuelvan completamente otros con una naturaleza 
completamente diferente. 
VII.1 PREVENCIÓN 
Los controles de acceso preventivos son desplegados para evitar o detener actividad 
no deseada o no autorizada desde antes que llegue a suceder y así evitar el tener que 
lidiar con el problema y todo lo que conlleve. Algunos ejemplos de este tipo de control de 
acceso son: rejas, candados, biométricas, puertas dobles, iluminación, sistemas de alarma, 
separación de deberes, rotación de trabajos, clasificación de datos, pruebas de 
penetración, encriptado, auditorías, instalar cámaras de vigilancia, tarjetas de proximidad, 
políticas de seguridad, procedimientos de marcar de vuelta a ciertas llamadas telefónicas, 
 
37 
 
capacitación de conciencia de seguridad, software antimalware, cortafuegos y sistemas de 
prevención de intrusos. 
VII.2 DETECCIÓN 
Los controles de acceso detectivos son puestos para descubrir y detectar actividad 
no deseada o no autorizada una vez que sucedieron o en el momento que están 
sucediendo, una vez identificada la actividad es más fácil tomar medidas al respecto. Unos 
ejemplos son guardias de seguridad, detectores de movimiento, el monitoreo en vivo 
mediante cámaras de seguridad, la revisión de las grabaciones de cámaras de seguridad, 
rotación de trabajo, vacaciones obligatorias para que cierto personal potencialmente 
malicioso no obstruya ciertas revisiones, auditorías, honeypots y honeynets, sistemas de 
detección de intrusos, reportes, supervisión y revisión de usuarios, e investigación de 
incidentes. 
VII.3 CORRECCIÓN 
Los controles de acceso correctivos suceden una vez que una actividad no deseada o 
no autorizada fue realizada, lo que hacen los controles correctivos es modificar la 
situación resultante del incidente a un estado deseado nuevamente, resolver los 
problemas que haya causado y que el ambiente regrese a la normalidad. Algunos ejemplos 
de controles correctivos pueden ser terminar la actividad no deseada o no autorizada, 
remover un elemento malicioso, reiniciar un servidor que se comporta anormalmente, 
cargar de nuevo la configuración desde un archivo, suspensión de labores de un empleado 
 
38 
 
problemático, y sistemas de detección de intrusos que al momento de detección detengan 
el ataque en proceso. 
VII.4 DISUACIÓN 
Los controles de acceso disuasorios están pensados para que al ser desplegados 
desanimen las intenciones de realizar una actividad no deseada o no autorizada. Puede 
que no representen en sí un verdadero obstáculo a hacerlo, en ello radica la diferencia 
con los controles de acceso preventivos ya que los preventivos al tratar de bloquear la 
actividad representan un obstáculo real, aunque algunos controles preventivos pueden 
ser a su vez disuadir las intenciones de realizar una actividad. Un ejemplo de un control 
preventivo que no disuada es una puerta oculta ya que previene el acceso no deseado o 
no autorizado sin tener que disuadir las intenciones de abrirla, mientras que un ejemplo 
de un control completamente disuasorio puede ser poner alambres a forma de una cerca 
con un letrero que diga Precaución: 200’000 Volts, dando la impresión que es una cerca 
electrificada, al inducir corriente a los alambres pasa a ser un control preventivo y 
disuasorio. Otros ejemplos pueden ser guardias, candados, letreros, puertas dobles, 
cámaras de vigilancia funcionales o no funcionales, y dispositivos que prenden y apagan la 
luz a ciertas horas en lugares sin gente para dar la impresión que hay gente dentro. 
VII.5 RECUPERACIÓN 
Los controles recuperativos buscan reparar y restablecer actividades, funciones y/o 
recursos de diferente naturaleza, como pueden ser recursos humanos, recursos 
informáticos, recursos financieros, etc., a su estado normal luego de un incidente de 
 
39 
 
seguridad. Los controles de recuperación son una extensión de los controles correctivos ya 
que un control recuperativo está recobrando algo consecuente a un incidente, mientras 
que un control correctivo no necesariamente está siendo recuperativo. Algunos ejemplos 
de controles recuperativos son rescatar información de un disco dañado mediante trabajo 
forense, restablecer documentos borrados en un ordenador, conseguir información de un 
respaldo, volver a cargar una máquina virtual a partir de una copia de respaldo, y la 
sustitución de un disco duro defectuoso en un arreglo redundante de discos 
independientes. 
VII.6 COMPENSACIÓN 
Los controles compensativos son los últimos en ser utilizados ya que al necesitarlos 
significa que todos los demás tipos de controles han fallado en alguna manera. Pueden ser 
usados en adición o en lugar de otros controles. Un ejemplo típico de este tipo de 
controles es contratar los servicios de una empresa aseguradora que cubra los gastos en 
caso de ser víctimas de robo, desastre natural, accidentes laborales, siniestros, etc. Otro 
ejemplo puede ser que los clientes queden insatisfechos al adquirir un producto o servicio 
y se les ofrezca cambiar el producto por otro, aunque represente una pérdida cuantitativa 
al costar dinero se evita una pérdida cualitativa al mantener la reputación de la empresa 
gracias a la consecuente satisfacción del cliente. 
 
40 
 
VIII. LEGISLACIÓN 
VIII.1 NORMATIVA INFORMÁTICA VIGENTE EN MÉXICO 
Los datos personales, como números de teléfono, correo electrónico y dirección del 
domicilio, son un bien valioso para las personas propietarias de los mismos. Dentro de las 
empresas el tratamiento de la información, y los datos personales de los empleados y 
clientes tiene que realizarse de acuerdo a la Ley Federal de Protección de Datos Personales 
en posesión de los particulares, ya que toda empresa está obligada a proteger la 
información que tenga en posesión. En dicho documento se encuentra que un gran 
número de puntos mencionados en el presente documento están contemplados y tienen 
que ser cumplidos, de lo contrario hay riesgo de acusación por no proteger 
adecuadamente los datos personales, ir a juicio, pagar multa, compensaciones y 
posiblemente llegar al encarcelamiento (CALDERÓN HINOJOSA, 2010). 
Otro documento oficial que trata sobre no intentar obtener información que no sea 
correspondiente a uno y la importancia de mantener segura la información, es el Código 
Penal Federal Mexicano, que trata el tema de la información, su obtención y divulgación, y 
sanciones en sus artículos 210 y 211 (CÁMARA DE DIPUTADOS DEL H.CONGRESO DE LA 
UNIÓN, 1931). 
VIII.2 ESTÁNDARES INTERNACIONALES 
Hay ciertos estándares que en principio no son obligatorios para un gran número de 
actividades. Algunas certificaciones tienen como requisito que se cumplan ciertos 
estándares para poder acreditar a una persona, empresa o proceso. 
 
41 
 
Una entidad respetada que cabe mencionar en cuanto a estándares es la 
International Standard Organization (ISO) cuyos estándares son reconocidos 
internacionalmente como una línea base para todo aquello que tengan contemplado en 
su amplia lista de estándares. Otras entidades enfocadas en seguridad de la información 
es la Information Systems Audit and Control Association (ISACA) y El Consejo Internacional 
de Consultores de Comercio Electrónico (EC-COUNCIL) quienes proporcionan diferentes 
certificaciones. 
Los estándares y certificaciones son una garantía de la calidad del trabajo, otorga 
cierto prestigio a las empresas y los clientes seguridad en los productos o servicios 
certificados. 
VIII.3 CONSECUENCIAS POR DIVULGACIÓN INDEBIDA 
Como se mencionó anteriormente, los datos personales y la información son un 
activo importante en cualquier industria. Hay consecuencias si la información que se 
custodia es divulgada indebidamente por diferentes motivos, no solamente consecuencias 
legales, es muy probable que la reputación se vea afectaday la confianza que se haya 
tenido se pierda parcial o totalmente. 
Lo primero que hay que hacer en caso de una fuga de información es buscar el 
problema, encontrarlo, corregirlo y aprender de ello para asegurar que no se vuelva a 
repetir. 
 
42 
 
Una forma de mitigar alguna fuga de información es compensar a los afectados de 
alguna forma para reducir su descontento. Entre las compensaciones que se pueden 
implementar está asegurar a los afectados por un tiempo determinado en caso que se 
haga mal uso de los datos que se hayan filtrado, compensación económica y uso gratuito 
de los servicios que la empresa proporcione. 
 
 
43 
 
IX. EJEMPLO PRÁCTICO 
Se supone una empresa llamada GeomáticEjemplo desempeña varias labores de 
Ingeniería Geomática, ha crecido desde un pequeño grupo de personas hasta ser una 
organización de un tamaño considerable, y ahora necesita mejorar su infraestructura 
informática. Hay que tener en cuenta que entre más grande sea una empresa corre un 
mayor riesgo, tanto de una falla accidental como de ser el objetivo de un ataque dirigido, 
por lo que habrá ciertas cosas que tendrán que cambiar en cuanto a su forma de trabajar 
lo más pronto posible para que la transición sea lo más fácil posible. También es 
importante mencionar que procedimientos, circunstancias y líneas base tendrán que 
establecerse y registrarse formalmente dentro de políticas y manuales, mientras que 
habrá otras que puedan dejarse sin especificar permitiendo cierta libertad de decisión, al 
menos de momento, y puede que algunas de ellas posteriormente se tengan que 
formalizar si es que las necesidades de la empresa lo requieren conforme vaya 
evolucionando. 
IX.1 SEGURIDAD ADMINISTRATIVA 
La seguridad administrativa se refiere a las políticas de seguridad que guiarán dentro 
del proceso de seguridad, por lo que dentro de la empresa es lo primero que se 
comenzará a construir dependiendo de las necesidades específicas de GeomáticEjemplo y 
dentro de las políticas se plasmará todo lo contemplado dentro de la seguridad 
administrativa, seguridad física y seguridad lógica. 
 
44 
 
Para comenzar con las políticas se puede considerar que la empresa 
GeomáticEjemplo permite que los empleados traigan sus propios dispositivos a la empresa 
y los ocupen para sus labores profesionales. Entre los dispositivos que normalmente traen 
los empleados se encuentran teléfonos inteligentes, tabletas y ordenadores portátiles. 
Estos dispositivos están sujetos a diferentes riesgos incluyendo malware, robo y 
malfuncionamiento, poniendo en riesgo los recursos de la empresa que almacenen, es por 
ello que es recomendable que los recursos y actividades de la empresa estén y se realicen 
únicamente en equipos administrados por la misma, de esta forma se tiene un control 
centralizado sobre los dispositivos y se puede proteger la información de formas que no se 
implementarían de lo contrario. Los dispositivos de la empresa contarían con sistemas de 
encriptado usando contraseñas cuya resistencia a diferentes ataques sea elevada para 
proteger los bienes informáticos. También se pueden rastrear los dispositivos en caso de 
robo o extravío, y para cuando se crea necesario se pueden equipar con capacidades de 
eliminación remota para los casos en que se crea que el dispositivo no se puede 
recuperar, de esta manera se evita que la información sea accedida por gente ajena a la 
empresa y que no esté autorizada. 
La información solamente debería ser accedida por quienes tengan la necesidad de 
usarla en sus actividades laborales mientras exista esa necesidad. Es completamente 
comprensible que el contador de la empresa necesite ver los libros de contaduría, 
mientras que sería sospechoso que el conserje quiera ver dichos libros en un aparente 
intento de espionaje corporativo, o que el cartógrafo quiera obtener los expedientes 
 
45 
 
correspondientes al personal femenino de la empresa. Para evitar el mal uso de la 
información se aplican los siguientes: 
 Necesidad de saber: Proceso mediante el cual se identifica quiénes necesitan poder 
acceder a qué recursos y áreas de la empresa. Así se pueden crear diferentes grupos 
con los privilegios y las restricciones que se requieran. 
 Principio del privilegio mínimo: Establece que las personas no deben tener más 
permisos de los necesarios para acceder a más de la información y recursos que 
necesitan para poder cumplir con sus tareas laborales, son permisos asignados 
individualmente. El privilegio mínimo es más granular que la necesidad de saber. 
 Separación de deberes: nadie debería ser la única persona encargada de cumplir 
una tarea desde su principio hasta el final, esto con el fin de evitar la oportunidad de 
realizar fraudes dentro de la empresa. 
Para no tener que estar asignando y revocando permisos a cada uno de los 
miembros del personal de forma individual dentro de la infraestructura lo que se hace es 
crear grupos dentro de los cuales se encuentra todo el personal. Un individuo puede 
pertenecer a uno o más grupos dependiendo de lo que necesite para desempeñar sus 
tareas. Puede que la empresa GeomáticEjemplo aún no sea lo suficientemente grande 
como para tener un gran número de grupos, pero sus expectativas de seguir creciendo 
son grandes, por lo que es recomendable comenzar a llevar este control ya que 
implementarlo luego que haya crecido puede llegar a ser complicado por el número de 
 
46 
 
empleados. Los permisos de acceso que puede comenzar a gestionar de una manera 
formal pueden ser los siguientes: 
 01 Áreas comunes 
 02 Artículos de limpieza 
 03 Salas de cómputo para el procesamiento de datos 
 04 Almacén (hojas, cartuchos de impresión, engrapadoras, cuadernos, etc.) 
 05 Bodega con equipo de campo 
 06 Llaves de entrada a las instalaciones 
 07 Sala de servidores 
 08 Archivos de recursos humanos 
 09 Archivos de los clientes 
 10 Libros de registros y contaduría 
 11 Oficinas de los directivos 
En la tabla 1 se muestran los grupos con los que la empresa puede comenzar a 
gestionar los permisos del personal pueden ser los siguientes: 
RUPO 
PERMISOS 
01 02 03 04 05 06 07 08 09 10 11 
Directivos X X X X X X X X X X X 
Ing. Jefe X X X X X X 
Sistemas X X X 
Contaduría X X X 
RH X X 
Ingenieros X X 
Conserje X X 
Visitantes X 
 
47 
 
Tabla 1 
 
La ausencia de algunos permisos de la tabla 1 no significa que el personal de 
conserjería únicamente podrá hacer el aseo en las áreas comunes, sino que realizará el 
aseo en áreas normalmente restringidas mientras haya al menos una persona 
correspondiente al área presente, por mencionar un ejemplo. Restringir los derechos no 
es por menospreciar al personal, el hecho de no poder acceder a un lugar o recurso lo 
libra de la responsabilidad o sospecha en caso que algo no deseado suceda en ese lugar o 
con ese recurso. 
La seguridad de la información tiene que estar presente en todos los procesos para 
que funcione correctamente, ya que la información al final de cuentas se encuentra tan 
vulnerable como el momento en que se encuentre menos protegida a lo largo de todo su 
recorrido. A menudo se llega a olvidar que las mismas personas son parte de los procesos 
por los que pasan los datos con los que trabajamos, un aspecto fundamental para poder 
mantener seguros dichos datos es que todos los empleados de la empresa tengan 
conciencia sobre la seguridad de la información, ya que las personas como parte del 
proceso son igual de importantes que cualquier otro elemento involucrado, además que 
hablamos de vidas. Las personas deben ser vistas como el activo más valioso de la 
empresa, y al igual que otros activos se tienen que implementar medidas para protegerlas 
en caso de diferentes contingencias como pueden ser: incendios, temblores,asaltos y 
demás. Se deben verificar periódicamente los mecanismos contra incendios, las rutas de 
 
48 
 
evacuación, las condiciones de las instalaciones, que haya material de seguridad y 
prevención en los sitios adecuados y tratar de tener contemplado todo lo que pueda salir 
mal. En adición se tienen que hacer simulacros para corregir las fallas en este tipo de 
contingencias y realizar las modificaciones pertinentes en el plan de emergencia para que 
la vida de los empleados no sea comprometida por algún descuido. 
IX.1.1 Conciencia y capacitación del personal 
El primer paso es concientizar a todos los empleados involucrados a seguir las 
políticas establecidas y no saltase las políticas ni los procedimientos. Una falla en el 
proceso puede comprometer la seguridad y poner en riesgo toda la información dentro de 
la infraestructura, por mencionar un ejemplo puede estar el caso del empleado que use el 
equipo del trabajo para acceder a páginas de internet de dudosa reputación que puedan 
contener ransomware, y de un momento a otro su computadora se encuentre bloqueada, 
toda la información almacenada en ella esté encriptada y en el monitor haya un mensaje 
que diga algo similar a: 
“Tu información está encriptada. Si quieres recibir la clave para poder revertir el 
proceso deposita $10’000ºº en bitcoins a la cartera *…+ antes de ser eliminados dentro de 
72 horas y envía una captura de pantalla de la transacción a la dirección de correo *…+. 
Una vez que hayamos confirmado la transacción te enviaremos la clave. 
Te quedan 71 h 59 m 43 s 
Ingrese su clave aquí: ___________________________________________” 
 
49 
 
Si era el único lugar en donde se almacenaban los datos de un trabajo entonces toda 
la operación se detiene en lo que se resuelve ese problema bajo la amenaza de perder 
todo cuando el contador de la pantalla llegue a cero. 
Otro ejemplo puede ser que en las políticas de seguridad de la información se 
establezca que al pasar los datos actualizados desde un disco duro portátil a una estación 
de trabajo se deba verificar la integridad de los mismos una vez copiados, un empleado 
decida ignorar ese paso teniendo en mente que no es necesario, borre la información del 
disco duro para tener más espacio para algo más y resulte que los progresos de varios días 
de trabajo no se copiaron correctamente, resultando en un retraso en el progreso del 
proyecto. 
Todos los miembros de la empresa deberán recibir capacitación adecuada a sus 
responsabilidades laborales dentro de la empresa para proteger a la misma de las posibles 
amenazas ya sea por malicia, como en el primer ejemplo, ya sea por accidente, como en el 
segundo ejemplo; ya sea una amenaza interna o externa. Los empleados también 
deberían recibir capacitación relativa al trabajo de sus compañeros para evitar que en 
caso que alguno de los miembros de un equipo de trabajo tenga que ausentarse por un 
breve periodo de tiempo, entonces las labores no se vean necesariamente detenidas. Es 
decir, que ningún empleado sea completamente indispensable ya que si es el único que 
sabe realizar alguno de los pasos del proceso entonces el proyecto se encontraría 
detenido si ese individuo se encuentra indispuesto. 
 
50 
 
Dentro de las políticas que se desarrollan para la empresa GeomáticEjemplo se 
deben establecer lapsos de tiempo en los cuales se llevarán a cabo programas de 
conciencia y las capacitaciones pertinentes. Se debe asegurar que todos los miembros de 
la empresa estén familiarizados con las políticas y que las sigan correctamente. 
IX.1.2 Revisiones y auditorías 
La seguridad no es un producto sino un proceso, ya que para poder mantener segura 
una organización hay que revisar constantemente que no haya vulnerabilidades que 
puedan ser explotadas. Puede que en un momento las instalaciones de GeomáticEjemplo 
puedan ser consideradas seguras, y al siguiente día se haya vuelto pública una 
vulnerabilidad en un modelo de cerraduras que permite abrirlas usando algún ataque que 
requiera poca habilidad y que la empresa tiene instalada en un gran número de sus 
puertas. Además, que los mismos empleados internos encargados de la seguridad 
busquen periódicamente puntos débiles y posibles mejoras es necesario que se realicen 
auditorías hechas por una empresa externa, por lo que se llamará al menos una vez al año 
a los expertos auditores en seguridad miembros de la empresa AuditoresEjemplo. Esto con 
el fin de contar con un punto de vista diferente y experto al que le resulte más fácil 
encontrar cosas que nosotros como parte de la empresa auditada no veamos por 
diferentes razones. Puede que los empleados internos estén acostumbrados que al entrar 
al edificio se deje pasar a la persona que viene justo detrás de nosotros con el fin de ser 
amables, los auditores pueden encontrar que esa práctica es un riesgo de dejar entrar a 
un desconocido ajeno a la empresa mientras que los demás lo vean perfectamente 
 
51 
 
normal. También una empresa de auditoría externa como AuditoresEjemplo ayuda a la 
empresa al darle seguimiento a las fallas de seguridad por corregir y posibles mejoras que 
se puedan implementar. 
Muchas personas al saber que la empresa o el área en que trabajan serán auditadas 
tienden a asustarse debido a una idea equivocada de lo que puede tratar la auditoría. Los 
auditores no son gente con malas intenciones cuyo fin sea el de dejarnos sin trabajo, sino 
que su trabajo consiste en comunicar las fallas en los procesos y procedimientos que se 
desempeñan en lo que se va a auditar y de esta forma se pueda hacer algo al respecto 
para corregirlos y así poder desempeñar mejor las labores de la empresa. Puede que los 
auditores encuentren ciertos indicios de actividades fraudulentas dentro de la empresa 
que sean realizadas por un pequeño número de los empleados buscando conseguir de 
forma ilegal más dinero para ellos. Puede que los empleados ya estén familiarizados con 
cómo revisan sus supervisores y por eso hayan sabido esconder sus actos criminales. Si un 
auditor, o equipo de auditoría, encuentra algo que deba ser notificado lo incluirá en su 
reporte que le entregará al encargado de nuestra empresa y la siguiente vez que regresen 
a hacer una nueva auditoría hagan seguimiento de los puntos encontrados en la auditoría 
pasada y den su visto bueno a las correcciones realizadas o sugerir alguna otra solución. 
IX.2 SEGURIDAD FÍSICA 
Para mantener segura la información hay que tener en cuenta el aspecto físico, que 
las personas solamente puedan acceder a los recursos o entrar a las habitaciones que 
tengan que entrar únicamente en el horario en el que tengan que entrar, no solamente 
 
52 
 
empleados sino también clientes y visitantes. Unas de las áreas que la empresa considera 
que no requiere prácticamente ninguna restricción de acceso es a los baños, el comedor y 
tal vez alguna sala de espera que estarían consideradas en las áreas comunes, mientras 
que unas de las áreas que no deberían poder ser accedidas fácilmente sin autorización son 
las oficinas de los directivos mientras ellos no se encuentren presentes, la sala de 
servidores, los archiveros de recursos humanos con la información personalmente 
identificable de todos los empleados, el cuarto con equipo de campo (como estaciones 
totales, teodolitos, antenas GPS, drones, tripiés y el resto del equipo con el que cuenta la 
empresa), y las máquinas con información de los proyectos y de los clientes. Dependiendo 
de lo que se quiera proteger será el nivel de seguridad que se implemente. Ya que no se 
necesita alta seguridad para mantener guardados los artículos de limpieza ni la papelería 
que se guarda en el almacén se pueden usar cerraduras de seguridad baja, ya que 
protegen artículos que no son demasiado valiosos y se tiene cierta confianza en el 
personal de la empresa que no va a intentar robarlos. En cambio las puertas que 
resguarden